KMU schützen sich weiterhin wenig vor Cyberangriffen Über Cyberangriffe wird viel berichtet. Trotzdem schützen sich KMU weiterhin ungenügend, wie die Resultate der dritten Studie zu Homeoffice und Cybersicherheit zeigen.
Über Cyberangriffe wird viel berichtet. Trotzdem schützen sich KMU weiterhin ungenügend, wie die Resultate der dritten Studie zu Homeoffice und Cybersicherheit zeigen.
Anfang 2022 waren die Schweizer Unternehmen ein drittes Mal seit Pandemiebeginn verpflichtet, ihre Mitarbeitenden wo möglich ins Homeoffice zu schicken. Wie sich diese erneute Massnahme auf Digitalisierung und Cybersicherheit in KMU ausgewirkt hat, untersucht die dritte Studie seit Mitte 2020 zu Homeoffice und Cybersicherheit. Über 500 Geschäftsleitende von Unternehmen in allen Landesteilen wurden im Frühling befragt.
Die wichtigsten Studienresultate
- Fast jedes dritte Schweizer KMU wurde schon einmal Opfer von Cyberattacken. 2022 gaben 31% der Befragten an, schon einmal angegriffen worden zu sein, etwas weniger als im Jahr davor (36%).
- Obwohl die mediale Aufmerksamkeit stark gestiegen ist, bleiben die Informiertheit zu Cyberrisiken sowie deren Wichtigkeitsbeurteilung bei KMU konstant. Nur für gut ein Drittel der Geschäftsführenden ist das Thema Cybersicherheit sehr wichtig.
- Zwar schätzen die KMU das Risiko, durch eine Cyberattacke einen Tag ausser Gefecht gesetzt zu werden, etwas höher ein als im Vorjahr – aber auf tiefem Niveau. Nur etwa 18 Prozent der Befragten halten das Risiko für sehr oder eher hoch.
- Wer mit einem IT-Dienstleister zusammenarbeitet (30% der KMU), setzt mehr Cyberschutzmassnahmen um.
- Fast ein Drittel (29 %) der Befragten halten es für sehr wahrscheinlich, dass sie in den nächsten 1 bis 3 Jahren ihre Sicherheitsmassnahmen gegen Cyberkriminalität erhöhen.
- Während der ersten Phase der Homeoffice-Pflicht arbeiteten 38% der Mitarbeitenden zuhause, nach der dritten Welle sank dieser Wert auf 12%. Damit liegt der Homeoffice-Anteil wieder praktisch auf Vor-Pandemie-Niveau (10%).
Das unsichtbare Risiko
Cyberrisiken sind unsichtbar und schwer fassbar. Simon Seebeck, Experte für Cyberschäden bei der Mobiliar, weiss genau, was Hacker zum Beispiel mit Erpressersoftware anrichten können: «Nach einer Cyberattacke dauert es im Schnitt einen Tag bis zwei Tage, bis wieder gearbeitet werden kann – falls es ein vollständiges Backup gibt», sagt er. «Sonst geht für längere Zeit nichts mehr.»
Je informierter, desto mehr Schutzmassnahmen
Zum Thema Cybersicherheit fühlen sich die KMU-Geschäftsleitenden weiterhin recht gut informiert, die Hälfte davon eher oder sehr gut. Je höher der selbst eingeschätzte Informationsgrad der KMU-Geschäftsleitenden ist, desto eher werden sie aktiv. Dabei werden vor allem technische Massnahmen wie regelmässige Softwareupdates (86%) und die Sicherung von WLAN-Netzwerken mit Passwörtern (82%) umgesetzt. Bei den organisatorischen Massnahmen gibt es jedoch weiterhin viel Potenzial.
Kein Cyberschutz ohne aufmerksame Mitarbeitende
Während sich Hacker weiter professionalisieren, haben Firmen nach wie vor Mühe, mit Massnahmen Schritt zu halten. Dass KMU vor allem im organisatorischen Bereich noch wenig Massnahmen ergreifen, um ihr Unternehmen vor Cyberattacken zu schützen, nimmt Simon Seebeck etwas besorgt zur Kenntnis. «Wir nutzen jede Gelegenheit, um KMU für Cyberschutz zu sensibilisieren, gerade was die organisatorischen Massnahmen angeht», sagt er. «Die meisten Cyberattacken zielen auf die Mitarbeitenden. Diese müssen wissen, wie sie sich und ihr Unternehmen schützen können.»
Viele nützliche Helfer
Die Mobiliar hat ein Sensibilisierungstraining entwickelt, bei dem das Wissen der Mitarbeitenden mit simulierten Attacken getestet und mit Online-Schulungen verbessert wird. Auch zur Unterstützung technischer Massnahmen gibt es Hilfe. «RedBox» heisst ein Schwachstellen-Scanner, der Sicherheitslücken in der IT-Infrastruktur von KMU entdeckt, um diese in Zusammenarbeit mit ihrem IT-Partner zu schliessen. Wie wichtig der IT-Dienstleister für KMU ist, belegt die Studie ebenfalls. Wer einen hat, setzt mehr Schutzmassnahmen um. Ein nützliches Tool ist zudem der kostenlose Online-Fitness-Check, wo KMU herausfinden können, wie sie beim Cyberschutz aktuell dastehen.
Für Simon Seebeck ist aus Schadensicht noch ein anderes Resultat der Studie interessant. «Unternehmen, die schon einmal eine Cyberattacke erlebt haben, erhöhen ihre Schutzmassnahmen eher als andere», sagt er. «Kein Wunder, das möchte man kein zweites Mal.»
Studie «Homeoffice und Cybersicherheit in Schweizer KMU»
KMU bei ihren digitalen Herausforderungen unterstützen und stärken: Das will die dritte Studie zu Homeoffice und Cybersicherheit, an der sich wiederum über 500 KMU aus der ganzen Schweiz beteiligten. Durchgeführt wurde die Studie von gfs-zürich im Auftrag von digitalswitzerland, der Fachhochschule Nordwestschweiz, der Schweizerischen Akademie der Technischen Wissenschaften und der Mobiliar. Die Studienresultate sind mit Grafiken, ergänzenden Artikeln sowie Ratgebern zum Cyberschutz verfügbar auf mobiliar.ch/kmu-studie.